Мой коллега Евгений в своём блоге очень интересно пишет про HTTP-протокол и его заголовки. На самом деле это весьма интересный момент, который стоит изучить хотя бы только для того, чтобы понимать как это всё работает. На помощь в изучении приходит PHP: всё-таки это очень функциональный язык. Вот скрипт для прослушивания порта:

set_time_limit (0);
$address = ‘127.0.0.1′;
$port = 80;
$sock = socket_create(AF_INET, SOCK_STREAM, 0);
socket_bind($sock, $address, $port) or die(’Could not bind to address’);
socket_listen($sock);
while(1) {
$client = socket_accept($sock);
$input = socket_read($client, 1024);
echo $input;
socket_write($client, $output);
socket_close($client);
}
socket_close($sock);

Обратите внимание, как автор предлагает использовать этот скрипт. В принципе, эту задачу лучше решает плагин Live HTTP Headers для FireFox, но полезность скрипта это не уменьшает абсолютно.

PS: у меня сейчас некая перегруженность в плане работы, поэтому пишу реже. Готовится новая версия дизайна для блога.

Жилинский Владимир.

Зная мои былые «шалости», люди иногда предлагают мне повторить некоторые трюки за деньги. Вчера я в очередной раз услышал конкретный вопрос: «Сколько будет стоить взлом сайта … ?»

Вот что я хочу сказать по этму поводу: а сможете ли вы ответить на простой вопрос «Зачем?»

Зачем вам атаковать сайты конкурентов? Подумайте об этом прежде чем платить за это деньги!

Устроить DDoS и удерживать сайт в перегруженном состоянии несколько дней — пока не отфильтруют. Да, сайт прекратит работу на несколько часов. Но очень может получиться, что этим вы устроите ему рекламу — сколько раз уже такое было. Более того, себя вы прославите не как хакеров, а как DDoS-еров, лишённых всякой сообразительности — это, пожалуй, самый тупой метод атаки.

Поискать XSS-уязвимости, возможности SQL-инъекций, другие методы скриптовых атак — да, красиво. Можно взять сайт под контроль (если повезёт) и стереть его или изменить — пока не придёт владелец и не зальёт бэкап. Это несколько часов в лучшем случае, потом ошибки исправят, сайт получит свою бесплатную рекламу, а вы — головную боль (вдруг найдут).

Использовать известные дырки в распространённых CMS — это пошло, да и смысла не имеет никакого — даже с учётом ленивых админов, большинство хостеров сейчас делают ежедневный бэкап информации и баз данных.

Всё это в сущности детский сад. Одно только: некоторые компании на сайтах делают скрытые разделы для партнёров, иногда указывая там реальные цены на продукцию. За получение этих цен конкуренты иногда готовы платить. Но в данном случае проще втереться в доверие, используя социальные методы. Да и сайтов таких — 1 на миллион. Статьи 28-й главы УК всё-таки работают, можно навредить себе больше, чем конкурентам.

Конечно, это просто поверхностные рассуждения, которые разнесёт в клочья любой современный PR-специалист. Да и сам я интернет-войны считаю очень забавными, но всё-таки лучше играть честно.

Заметки по теме:

• Уголовный кодекс и взлом сайтов.
• Взлом аккаунтов: всё проще.
• DoS и DDoS-атаки.

Жилинский Владимир.

Хоть это и не совсем по моей теме, но всё же процитирую Константина Каширина:

Через несколько часов Яндекс прекратит работу некоторых операторов языка запросов: link (кто ссылается) и anchor (каким словами). Это существенно сократит возможности аналитики, например не позволит видеть бэклинки — ни свои, ни конкурентов, а также не позволит проверять ссылки на работоспособность. Со слов руководства Яндекса, причина нововведения — стремление сделать Яндекс более закрытым.

Руководство Яндекса, в лице Ильи Сегаловича, Елены Колмановской и Александра Садовского, сообщило об этом на встрече с несколькими оптимизаторами, которая прошла в неформальной обстановке в одном из московских ресторанов.

Впрочем, на данный момент операторы всё ещё работают и официального заявления пока не было. Реакция SEO-сообщества — неоднозначная. Кто-то радуется, кто-то в шоке, некоторые надеются, что Яндекс ещё может передумать.

Это довольно необычная историческая книга. Это история компании, которой едва исполнилось восемь лет, а на момент написания книги на языке оригинала и того меньше.

Это история Google. История, которая происходила на наших глазах – о чем мы даже не подозревали! История о том, как два молодых аспиранта Стэнфорда совершили переворот в жизни нашего поколения.

В общем, это новейшая история мира. Того мира, в котором колыбелью цивилизации является Стэнфорд.

Дэвид А. Вайз, Марк Малсид: «Google. Прорыв в духе времени.» (zip, 0.7 Mb).

За наводку спасибо Tlanvar.

Жилинский Владимир.

Chaos Constructions Antique 2007 закончился. Потраченных дней, денег и сил не жалко — оно того действительно стоило. Не буду писать про то, кто был на фестивале — слишком огромные списки получаются, и про то, что там происходило — почти обо всём можно прочитать на тщательно поддерживаемом нами в течение всего фестиваля сайте.

Там же можно найти и некоторую часть отснятого нами материала (пока малую часть — нужно отоспаться). Вообще, я считаю, что рассказывать что-то о #CC — неблагодарное дело, потому что каждый видит его по-своему и огромную роль играет общение людей друг с другом, даже сама суть фестиваля иногда отходит перед ним на второй план.

В следующий раз эта же команда организаторов и активных участников соберётся 29 ноября (и по 2 декабря)
в ЦВЗ «Манеж» (Санкт-Петербург) на Chaos Constructions HackAround’2007. По календарю это будет удобно: с четверга по воскресенье.

Будут раскрываться темы сетевой безопасности и hacking’а (не только в сетевом аспекте, но и в целом как lifehack). Предполагаются конкурсы, семинары и демонстрация различных материалов, а также классические моменты — компьютерная история и демосцена.

Хотите поломать голову над задачкой по веб-программированию ? Пожалуйста. Есть код:

<table><tr><td background=#fff7eb id=message>
<?php mysql_query("INSERT INTO `res_action` (`type`, `date`, `id`, `from`, `to`, `text`, `viewed`, `hidden`)
VALUES ('hate', '08/08/07 12:15', 1070808121557, 'foo', 'bar', '', '0', '0')"); ?>
</td></tr></table>

При обработке такого кода происходит ошибка — запись добавляется в базу два раза. Стоит убрать из таблицы цвет фона — ошибка исчезает. В продолжении — ответ на задачу. Кто сообразит без подсказки ?

Читать далее »

Google Sitemap — это один из довольно интересных инструментов от Google для веб-разработчиков, позволяющих в какой-то степени влиять на индексацию своих сайтов. Про то, что это такое и зачем это надо подробно написано самими разработчиками. «Скормить» sitemap консоли Google можно в четырёх форматах:

• Sitemap. Это созданный Google открытый XML-протокол.
• OAI-PMH — это инфраструктура взаимодействия на основе сбора метаданных. Не стоит это курить, я думаю.
• RSS-поток — каналы в формате RSS 2.0 и Atom 0.3.
• TXT — простой текстовый файл, содержащий один URL в каждой строке.

Сам Google рекомендует использовать первый вариант, так как он наиболее информативен для его пауков. Текстовый файл несет слишком мало информации, а OAI-PMH это что-то сугубо спецефическое. Интерес представляет возможность обработки RSS, особенно в свете покупки Google сервиса FeedBurner, обрабатывающего RSS-потоки.

Об этом сейчас ведутся очень активные обсуждения, ставятся эксперименты, но делать выводы пока рано. Хотя быстрая индексация страниц сайта, отправленных RSS-потоком в FeedBurner, была замечена многими. Но тут есть один момент: для больших сайтов не получится транслировать в RSS все страницы, обычно это делается только для новых. Поэтому оптимальным мне кажется использование RSS одновременно с традиционным Sitemap.

Простейший файл с одним элементом и без необязательных параметров в формате Google Sitemap выглядит так:

<?xml version="1.0" encoding="UTF-8"?>
<urlset xmlns="http://www.google.com/schemas/sitemap/0.84">
<url>
<loc>https://zhilinsky.ru/</loc>
</url>
</urlset>

Для его автоматического создания есть большое количество онлайн-сервисов. Например, довольно простые пауки:

• sitemapbuilder.net
• neuroticweb.com/recursos/sitemap
• xml-sitemaps.com
• sitemapspal.com

Комплексный онлайн-сервис с максимальной функциональностью:

• sitemapdoc.com

А вообще есть официальный Sitemap-генератор от Google почему-то на языке Python и его неофициальный порт на язык PHP — PhpSiteMapNG. Для многих CMS существуют соответствующие плагины, Google Sitemaps для WordPress, например.

Жилинский Владимир.

Нашёл весьма полезный онлайн-сервис для работы с файлами .htaccess. Защита сайта или его части на этом уровне очень эффективна, так как создаётся на уровне веб-сервера Apache. Но ручное составление инструкций настройки .htaccess довольно скучное занятие, которое действительно лучше доверить скриптам.

Возможности:

• Защита паролем (http-авторизация) сайта, части сайта, или файлов по маске (Password Generator)
• Полная блокировка доступа с IP-адреса, списком или по маске (Visitor IP Banning)
• Полная блокировка доступа по ссылке с определённых ресурсов (Site Referrer Ban)
• Запрет использования файлов сайта на других ресурсах (Disable Hotlinking)

А ещё там есть скрипты для оптимизации изображений, маскировки e-mail адресов от ботов, генераторы favicon, градиентов и кнопок формата 80×15.

В комментариях к заметке, объясняющей принципы и пользу RSS был задан вопрос — куда можно сабмитить RSS-поток русскоязычного блога ? Кажется, пришло время ответить развернуто. Вот список русских сервисов (каталоги, аггрегаторы), принимающих на рассмотрение RSS-ленты блогов:

А вот тут — список аналогичных сервисов, рассчитанных на англоязычную аудиторию — чуть больше сотни. Впрочем, в гугле по словам «submit rss feed» их можно найти огромное количество.

Жилинский Владимир.

Небольшой опрос показал, что наиболее безопасными и защищёнными от взлома люди считают следующие системы управления контентом (CMS):

• CMS Made Simple — рекомендации от людей, занимающихся аудитом безопасности, успешная эксплуатация в «боевых» условиях.
• SmallNuke CMS.
• MODx CMS — довольно новая система, и довольно сложная, поэтому считается довольно безопасной.
• Joomla CMS — постоянно выходящие обновления безопасности делают её очень защищённой.
• e107.
• ExpressionEngine Core.

Многие так же обратили внимание, что очень редко встречаются сообщения о взломе дорогих CMS. Скорее всего, дело в том, что при возникновении такой ситуации, владелец сайта просто обращается в техподдержку CMS и сам факт взлома из интересов создателей CMS не разглашается. Впрочем, многие считают Битрикс и Юми тоже очень «крепкими» системами. Исходя из того, кто их делает и почём продаёт, в этом нет причин сомневаться.

Жилинский Владимир.